jSQL注入是用于自动SQL数据库注入的Java应用程序。
介绍:
jSQL注入是一个轻量级应用程序,用于从远程服务器查找数据库信息。
它是免费的,开源的和跨平台的(Windows,Linux,Mac OS X)。
kali Linux的标志jSQL注入也是官方渗透测试分发Kali Linux的一部分,并包含在其他发行版,如Pentest Box,Parrot Security OS,ArchStrike或BlackArch Linux。
特征
自动注入23种数据库:Access,CockroachDB,CUBRID,DB2,Derby,Firebird,H2,Hana,HSQLDB,Informix,Ingres,MaxDB,Mckoi,MySQL,Neo4j,NuoDB,Oracle,PostgreSQL,SQLite,SQL Server,Sybase ,Teradata和Vertica
多次注射策略:正常,错误,盲和时间
多重注射结构:标准,拉链,一次性倾倒
SQL引擎来研究和优化SQL表达式
注射多个目标
搜索管理页面
Web shell和SQL shell的创建和虚拟化
使用注射读取和写入主机上的文件
强制密码的哈希
对字符串进行编码和解码
jSQL Injection打开截图:
示例脚本:
使用示例脚本来测试本地环境中的注入。首先安装像一个PHP这样的开发环境,然后下载测试台的PHP脚本并将其放入网站根目录www/或其它......
- <?PHP
- # http://127.0.0.1/test.php?id=0
- $ link = mysqli_connect(' localhost ',' root ','root ',' my_database ');
- $ result = $ link - > query(“ SELECT col1,col2 FROM my_table where id = $ _GET [id] ”);
- while($ row = $ result - > fetch_array($ result,MYSQLI_NUM))
- echo join(',',$ row);
通过上面代码大家可能不太明白,详情可以去下面看视频,视频用这些测试代码+jSQL Injection工具一起运用要详细得多。
jSQL Injection 效果与评价:
此工具的确是可以针对很多的数据库进行注入,我亲自用php的mysqli做了注入测试,但是它说没有发现注入点。但是用此工具还有一个缺点,你必须要先扫描出来注入点,因为它主要用的是get,现在很多的网站都不是动态路径,因此这点有点小麻烦,大家可以运行以前的教程来达到这个目的。
项目网址:https://github.com/ron190/jsql-injection/releases
在线视频地址:
优酷:http://v.youku.com/v_show/id_XMzEzMTYwNzc1Ng==.html
腾讯:https://v.qq.com/x/page/i05690hul8o.html